Cybersecurity & Intelligenza Artificiale: le possibili soluzioni
Attualmente i professionisti della sicurezza possono fare ricorso all’Intelligenza Artificiale per 1. prevedere le minacce ed adattarsi ad esse; 2. identificare ed eliminare le vulnerabilità esistenti; 3. rilevare ed arrestare cyber attacchi con una velocità ed efficienza che non è sempre possibile ottenere con l’analisi umana.
In particolare la velocità di analisi assume rilevanza al fine di:
- Analizzare volumi massicci di dati. Gli analisti della sicurezza, grazie all’IA, possono memorizzare ed analizzare tutti i dati di log relativi alle attività di attacco riuscendo in un’impresa che mai nessuna mente umana potrebbe realizzare.
- Affrontare la varietà di competenze nel settore della cybersecurity. Secondo più studi, ci saranno tra 1.5 milioni e 3,5 milioni di posizioni aperte nel campo della cybersecurity entro il 2021. Non si può risolvere il problema rappresentato dall’estrema diversità di competenze richiesta assumendo semplicemente personale qualificato ed addestrato. L’IA in tale ottica può essere particolarmente utile consentendo al personale di lavorare in un contesto operativo particolarmente efficiente.
- Adeguarsi costantemente a minacce e modelli d'attacco in evoluzione. Difatti alcuni strumenti tecnici di IA possono consentire una migliore rilevazione e una maggiore conoscenza delle minacce. Queste funzionalità possono migliorare o addirittura aumentare le regole o soluzioni attuali e in alcuni casi addirittura le sostituiscono, in quanto consentono un approccio più scientifico.
- Limitare l'impatto del cliente e degli affari in merito a cyber attacchi e violazioni. Quando si verifica una violazione, la soluzione migliore è quella di poter reagire rapidamente e con la massima efficacia. Talvolta, però, non è facile mettere in pratica quanto detto, poiché i rimedi a disposizione non sempre sono ovvi e la cura può essere più dolorosa della malattia. Le soluzioni IA possono ottimizzare la risposta migliore analizzando le azioni che hanno funzionato in passato combinate a regole esperte definite da professionisti della sicurezza.
(Nella foto: l'Avv. Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)
Indubbiamente allo stato attuale non esiste una soluzione di IA definitiva in grado di rilevare pensare ed agire, ma tanti, ormai, sono i settori dove sono stati fatti molti progressi:
- Biometria. Come noto le soluzioni biometriche confrontano le caratteristiche fisiche dell’utente con quelle memorizzate dal sistema si pensi a le impronte digitali e le impronte palmari, il riconoscimento della voce, il reticolo venoso della retina dell’occhio, il controllo dinamico della firma. La biometria comportamentale garantisce l'autenticazione continua degli utenti ed utilizza il ML per eseguire il punteggio di rischio. La stessa biometria può contribuire a ridurre drasticamente i tassi di frode e migliorare il livello di sicurezza interrompendo gli attacchi cibernetici che utilizzano credenziali rubate. I dati generati da queste soluzioni possono anche contribuire a realizzare un altro importante obiettivo in tema di sicurezza e cioè trovare soluzioni analitiche per individuare in modo più rapido e accurato il comportamento anomalo dell'utente.
- Elaborazione del linguaggio naturale. La tecnologia di elaborazione del linguaggio naturale (NLP) è in grado di leggere e comprendere il testo generato dall'uomo. Le persone possono dire tante cose e talvolta quello che dicono può essere indicativo di minacce o attività inappropriate. I filtri anti spam sono un esempio classico, ma con questa metodologia è possibile individuare schemi di phishing e altre minacce analizzando il testo in forma libera.
La NLP è utile anche agli analisti della sicurezza che svolgono indagini e ricerche. Ad esempio, IBM Watson per la Cybersecurity ha una conoscenza naturale del linguaggio che gli permette di capire il testo scritto. Gli analisti della sicurezza sono, quindi, in grado di utilizzare Watson come un analista aggiuntivo che possa rispondere a domande e fare raccomandazioni.
- L’apprendimento automatico (ML). E’ composto da strumenti, tecniche e algoritmi in grado di analizzare dati e gli scienziati lo utilizzano per creare modelli predittivi o identificare modelli nei dati. L'apprendimento automatico non è un approccio unico per analizzare i dati. Difatti ci sono decine di classi di algoritmi che si concentrano su specifici problemi. Ad esempio, ci sono alcuni algoritmi di apprendimento che individuano un'attività di file dannosa, mentre altri monitorano gli utenti per un comportamento insolito.
La tecnologia di ricerca cognitiva utilizza l'apprendimento automatico per identificare modelli ricorrenti nei risultati della ricerca che possano assumere sempre più una maggiore rilevanza con il passare del tempo.
- L'apprendimento profondo (Deep learning). L'apprendimento profondo è un ramo dell’apprendimento automatico che si concentra in modo specifico su algoritmi che costruiscono reti neurali artificiali. Oggi tutti i giganti della rete lo utilizzano per analizzare e prevedere on-line comportamenti, migliorare la ricerca, ecc. Altre imprese sperimentano il deep learning per organizzare informazioni e prevedere risultati o per aumentare la precisione di altre soluzioni di IA, quali l'analisi delle immagini e il riconoscimento vocale. Nella cybersecurity, i ricercatori usano profonde tecniche di apprendimento per automatizzare l'estrazione di set di dati connessi alle minacce.
- Automazione e orchestrazione di sicurezza (SAO). Le soluzioni SAO impiegano blocchi di IA per rendere più agevole l’indagine della minaccia ed il conseguente processo di risposta. Le tecnologie non sono ancora abbastanza mature per consentite una soluzione completamente automatica ma sono particolarmente utili nell’informare gli analisti umani circa la possibile evoluzione della minaccia.
- Analisi della sicurezza. Le soluzioni di analisi utilizzano il ML per rilevare comportamenti dannosi. Le piattaforme di gestione delle informazioni, a lungo afflitte da regole inefficienti, utilizzano il ML per ridurre falsi positivi e per rilevare l'attività persa dalle regole esistenti. Gli strumenti di analisi di sicurezza autonomi utilizzano lo stesso ML per la rilevazione delle minacce e la caccia alle stesse, filtrando attraverso grandi quantità di dati.